Last Updated on 2024-10-22 07:34 by admin

Ivantiのデバイスに新たな脆弱性が見つかり、大規模な悪用が発生しています。この脆弱性は、サーバーサイドリクエストフォージェリ（SSRF）に関連するもので、CVE-2024-21893として追跡されています。Ivantiは、この問題を1月31日に公表し、Ivanti Connect Secure（9.x, 22.x）およびIvanti Policy Secure（9.x, 22.x）のSAMLコンポーネントに影響があると報告しました。この脆弱性は、以前に報告された2つのゼロデイバグ、認証バイパスの脆弱性（CVE-2023-46805）と一般的なインジェクションの脆弱性（CVE-2024-21887）の修正を回避するために悪用される可能性があります。

Rapid7の主任セキュリティ研究者であるStephen Fewerは、CVE-2024-21893を利用した未認証のコマンドインジェクション攻撃が可能であると述べ、この脆弱性の悪用に関する証拠となるコード（PoC）を公開しました。ShadowServerは、このPoC公開後にリバースシェルの試みやその他の悪用が報告されたと述べています。現在、170以上の攻撃IPが関与していると報告されています。

Ivantiは、既知の脆弱性に対処するパッチをIvanti Connect Secureバージョン22.5R2.2およびIvanti Policy Secure 22.5R1.1でリリースしました。また、米国サイバーセキュリティ・インフラセキュリティ庁は、Ivanti Connect SecureまたはIvanti Policy Secureを使用している連邦機関に対し、これらの製品を2月2日までにネットワークから切断するよう緊急指令を発しました。

【ニュース解説】

Ivantiのデバイスに新たに発見された脆弱性が、大規模な悪用の対象となっています。この脆弱性は、サーバーサイドリクエストフォージェリ（SSRF）と関連しており、CVE-2024-21893として識別されています。SSRFとは、攻撃者がサーバーに対して、意図しないリクエストを送信させることができる脆弱性の一種です。この問題は、Ivanti Connect SecureおよびIvanti Policy Secureの特定バージョンに影響を及ぼし、以前に報告された他の脆弱性の修正を回避するために悪用される可能性があります。

この脆弱性の発見と公表は、セキュリティ研究者や機関によって行われ、特にRapid7の研究者は、この脆弱性を利用した未認証のコマンドインジェクション攻撃が可能であることを示す証拠となるコードを公開しました。これにより、攻撃者はシステムに深刻な影響を与えることが可能になります。さらに、ShadowServerによると、この脆弱性の悪用試みは、公開された証拠のコード以降、急速に増加しており、170以上の攻撃IPが関与していると報告されています。

Ivantiは、この問題に対処するためのパッチをリリースし、影響を受けるバージョンの製品を更新することを推奨しています。また、米国サイバーセキュリティ・インフラセキュリティ庁は、連邦機関に対して、影響を受けるIvanti製品をネットワークから切断するよう緊急指令を発しています。

この事件は、企業や組織が使用するセキュリティ製品自体が脆弱性の対象となることのリスクを浮き彫りにしています。セキュリティ製品は、組織の防御の最前線に位置するため、これらの製品に存在する脆弱性は、特に深刻な影響を及ぼす可能性があります。このため、製品の定期的な更新とパッチの適用、脆弱性情報の追跡が、セキュリティ対策の重要な部分となります。

また、このような脆弱性の発見と悪用の増加は、サイバーセキュリティの分野での継続的な研究と情報共有の重要性を強調しています。攻撃者は常に新たな攻撃手法を模索しており、セキュリティコミュニティはこれに対抗するために、知識と技術の共有、および連携を強化する必要があります。

from More mass exploits hit the same buggy Ivanti devices.

admin

See Full Bio